比特币行情网讯 慢雾创始人余弦在X平台发文列举Crypto钓鱼常见手法,包括:
Drainer-as-a-Service(DaaS)功能:
- eth_sign/personal_sign/eth_signTypedData_* 这种原生签名利用,eth_sign已经被钱包们封堵得越来越少了;
- Token/NFT类似approve/permit这些授权函数的利用;
- 类似Uniswap swapExactTokensForTokens/permit2等这些强大函数的利用;
- OpenSea/Blur等协议函数的利用;
- TX data 4byte利用,Claim Rewards/Security Update等;
- 用Create2预创建资金接收地址,绕过相关检测;
- Solana一笔签名钓走目标钱包地址里的所有资产;
- 比特币铭文一键批量钓鱼,UTXO机制;
- 各EVM链/Solana/Tron等切换钓鱼。
钓鱼路径(不一定使用DaaS):
- Google/X 等广告投毒、X 评论或私信投毒
- 黑掉官方号(X、Discord、Telegram 等)发布钓鱼链接或其他骗术,黑掉的方法常见如:SIM卡劫持、第三方应用OAuth授权、骗取Discord token、骗取Telegram Login code等方式;
- BGP/DNS等劫持或入侵手法在官方网站植入恶意代码;
- 供应链攻击在官方网站植入恶意代码(如之前Ledger模块ledgerhq/connect-kit被投毒事件);
- 隐蔽的陷阱合约(貔貅盘、套利陷阱等);
- 知名项目合约存在授权漏洞;
- 空投代币买卖或以取消授权名义偷走用户过大的Gas;
- 伪造事件/零转账等障眼法;
- 污染钱包的转账历史(首尾号一样),坐等用户复制;
- 伪装记者、资方、项目方等诱骗用户下载打开带木马的文档、游戏程序、工具等;
- 带后门的薅毛工具;
- 假Telegram/WhatsApp/Binance等替换钱包地址;
- 假钱包直接采集助记词或者给Tron地址加把权限锁,坐等目标入账;
- 诱骗用户转账时填写存在猫腻(如授权)的data;
- 假币、假官网、假官方人员等等骗局;
- 诱骗用户直接“上供”自己的助记词;
- 明文助记词/私钥陷阱:窃取手续费或诱导安装带木马的钱包程序;
- 类“杀猪盘”线上套路;
- 类“扳手攻击”“色诱”“大生意”等这种线下套路;
- 硬件钱包售卖渠道被中间人动手脚。